9.5. 设置用户身份验证和授权¶

9.5.1. 使用 Kerberos 验证 NFS 共享用户的身份¶

要在 NFS 共享中启用用户身份验证，请执行以下操作：

1. 将正向和反向可解析的 FQDN（完全限定域名）分配给共享的 IP 地址。

2. 在设置 > 安全性 > Kerberos 选项卡上，指定以下 Kerberos 信息：

   1. 在领域中，以大写字母表示的 DNS 名称。

   2. 在 KDC 服务中，运行领域的 KDC（密钥分发中心）服务的主机的 DNS 名称或 IP 地址。

   3. 在 KDC 管理服务中，运行领域的 KDC 管理服务的主机的 DNS 名称或 IP 地址。

      通常，KDC 及其管理服务在同一主机上运行。

3. 在 Kerberos 服务器上，执行以下操作：

   1. 以管理员身份登录到 Kerberos 数据库管理程序。

   2. 使用命令 addprinc -randkey nfs/<share_FQDN>@<realm> 为共享添加主体。例如：

      # addprinc -randkey nfs/share1.example.com@example.com
      

   3. 为该主体生成一个密钥表，并将该密钥表保存至可以从中上传的目录。例如：

      # ktadd -k /tmp/krb5.keytab nfs/share1.example.com@example.com
      

4. 在存储服务 > NFS > 共享选项卡上，选择一个共享，然后单击身份验证。

5. 上传密钥表文件，然后单击保存。

9.5.2. 使用 LDAP 授权 NFS 导出用户¶

通过 LDAP 配置对用户目录的访问，即可控制哪些用户可以访问哪些 NFS 导出。您将需要一个具有所需 NFS 访问参数的用户帐户目录。

要配置对 LDAP 服务器的访问，请执行以下操作：

1. 在设置 > 安全性 > LDAP 选项卡上，指定以下信息：

   • 地址，LDAP 服务器的 IP 地址；

   • 基础 DN，搜索起点的专有名称；

2. 单击保存。